謝至恩微軟發現 Paragon Partition Manager 的 BioNTdrv.sys 驅動程式存在 5 個漏洞,其中一個已被勒索軟體組織在零時差攻擊中利用,以取得 Windows 系統權限。
這些漏洞驅動程式被用於「自帶漏洞驅動程式」(Bring Your Own Vulnerable Driver , BYOVD) 攻擊,攻擊者會在目標系統上投放核心驅動程式,以提升權限。
CERT/CC 在警告中解釋:「擁有本機端存取權限的攻擊者可以利用這些漏洞來提升權限,或在受害者的設備上造成拒絕服務 (DoS) 攻擊。」
「此外,由於此次攻擊涉及微軟簽署的驅動程式,因此即使裝置上未安裝 Paragon Partition Manager,攻擊者仍可透過 BYOVD 技術來利用該漏洞。」
由於 BioNTdrv.sys 是一個核心級驅動程式,攻擊者可利用其漏洞,以與該驅動程式相同的權限執行指令,進而繞過安全機制與防護軟體。
微軟研究人員發現了上述五個漏洞,並指出其中之一的 CVE-2025-0289 漏洞已被勒索軟體組織用於攻擊。然而,研究人員未透露是哪個勒索軟體組織利用此漏洞進行零時差攻擊。
CERT/CC 公告指出:「微軟觀察到攻擊者在 BYOVD 勒索軟體攻擊中利用這一弱點,特別是 CVE-2025-0289,以提升權限至 SYSTEM 等級,並進一步執行惡意程式碼。」
「這些漏洞已由 Paragon Software 修補,微軟也已將受影響的 BioNTdrv.sys 版本納入其易受攻擊驅動程式封鎖清單。」
微軟發現的 Paragon Partition Manager 漏洞如下:
- CVE-2025-0288:由於 memmove 函式處理不當導致任意核心記憶體寫入,允許攻擊者改寫核心記憶體並提升權限。
- CVE-2025-0287:由於輸入緩衝區內的 MasterLrp 結構缺少驗證,導致發生空指標解引用,允許攻擊者執行任意核心代碼。
- CVE-2025-0286:由於未適當驗證使用者輸入的資料長度,導致任意核心記憶體寫入,允許攻擊者執行任意代碼。
- CVE-2025-0285:由於未驗證使用者輸入的資料,導致任意核心記憶體映射,攻擊者可透過修改核心記憶體映射來提升權限。
- CVE-2025-0289:由於在傳遞 MappedSystemVa 指標至 HalReturnToFirmware 前未進行適當驗證,導致核心資源存取不安全,可能導致系統資源被攻擊者控制。
前 4 個漏洞影響 Paragon Partition Manager 7.9.1 及更舊版本,而 CVE-2025-0289 則影響 17 版及以前的版本。
建議使用者升級至最新版本,其中包含 BioNTdrv.sys 2.0.0 版本,該版本已修正所有上述漏洞。
然而,需要注意的是,即使未安裝 Paragon Partition Manager 的使用者仍然可能受到攻擊影響。 BYOVD 技術不依賴於目標系統上是否安裝該軟體,而是由攻擊者自帶漏洞驅動程式並載入至 Windows,以提升權限。
微軟已更新其「易受攻擊驅動程式封鎖清單」,以防止該驅動程式在 Windows 系統上被載入,因此使用者和組織應確認此安全防護機制是否已啟用。
使用者可前往 設定 → 隱私權與安全性 → Windows 安全性 → 裝置安全性 → 核心隔離 → 微軟易受攻擊驅動程式封鎖清單,並確認該設定已啟用。
Paragon Software 網站也公告警示使用者,必須在今天之前升級 Paragon Hard Disk Manager,因為該軟體使用相同的驅動程式,而微軟將於今日封鎖這款驅動程式。
儘管目前尚不清楚哪些勒索軟體組織正在利用 Paragon 漏洞,但 BYOVD 攻擊已在網路犯罪中越來越流行,因為它可以輕鬆取得 Windows 設備的 SYSTEM 權限。
因此,啟用微軟易受攻擊驅動程式封鎖清單功能,以防止漏洞驅動程式被利用,對於保護 Windows 設備來說非常重要。